국내 금융 보안 프로그램, 강제 설치가 오히려 사이버 공격 위험 높인다

사진=게티이미지

국내 금융 보안 프로그램의 설치 의무화가 오히려 사이버 공격 위험을 높인다는 연구 결과가 나왔다. 

한국과학기술원(KAIST) 전기·전자공학부 김용대·윤인수 교수 연구팀은 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 그리고 보안 전문기업 티오리와 협력해 국내 금융 보안 소프트웨어를 분석한 결과, 설계상의 구조적 결함과 취약점을 발견했다고 2일 밝혔다.

연구팀은 북한의 사이버 공격 사례에서 국내 보안 소프트웨어가 주요 공격 대상이 되는 이유에 주목했다.

국내 주요 금융기관 및 공공기관에서 사용되는 7종의 주요 보안 프로그램(Korea Security Applications, 이하 KSA)을 분석한 결과, 총 19건의 심각한 보안 취약점이 확인됐다.

일부 KSA는 키보드 입력 정보를 암호화해 웹사이트로 전송하지만, 해킹된 웹사이트가 이 기능을 악용할 경우 사용자의 키보드 입력을 도청하거나 저장할 수 있는 문제가 있었다. 

또한, 공인인증서 보호를 목적으로 개발된 일부 KSA는 응용 프로그램 인터페이스(API)를 통해 인증서를 제공하지만, 이 과정에서 사용자 이름 등 개인정보가 암호화되지 않은 상태로 노출될 가능성이 있는 것으로 확인됐다.

이 외에도 중간자 공격(MITM·Man-in-the-middle), 원격 코드 실행(RCE), 사용자 식별 및 추적과 같은 취약점이 지적됐다.

연구팀은 이러한 문제가 국내 금융 보안 소프트웨어가 웹 브라우저의 보안 구조를 우회해 민감 정보에 접근하는 방식을 채택했기 때문이라고 분석했다.

특히, 액티브X(ActiveX) 방식의 보안 플러그인은 취약성과 기술적 한계로 인해 지원이 중단됐지만, 실행파일(.exe)을 활용한 유사한 구조로 대체되면서 보안 위협이 여전히 존재하고 있다.

문제는 국내에서 금융 및 공공서비스 이용 시 이러한 보안 프로그램 설치를 의무화하고 있다는 점이다.

연구팀이 전국 400명을 대상으로 진행한 온라인 설문조사에 따르면, 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있다고 답했다. 이 중 59.3%는 해당 프로그램의 기능을 모른다고 응답했다. 또한, 실제 사용자 PC 48대를 조사한 결과, 1인당 평균 9개의 KSA가 설치되어 있는 것으로 나타났다.

일부 취약점은 연구팀의 제보로 패치되었으나, 근본적인 설계 결함은 여전히 해결되지 않은 상태라고 연구팀은 밝혔다.

김용대 교수는 “보안 소프트웨어는 사용자를 보호해야 하지만, 오히려 공격의 통로로 악용될 수 있다”며 “비표준 보안 소프트웨어를 강제 설치하도록 하는 방식에서 벗어나, 웹 표준과 브라우저 보안 모델을 준수하는 방향으로 전환해야 한다”고 제안했다.